A szerb rendőrség egy Cellebrite nulladik napi sérülékenységet használt Android telefonok feltörésére

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe

A szerb hatóságok egy Cellebrite által fejlesztett Android nulladik napi exploitláncot alkalmaztak egy diákaktivista telefonjának feltörésére, valamint kémprogram telepítésére tett kísérletre – derült ki az Amnesty International vizsgálatából.

Mi az a Cellebrite, és hogyan használják a hatóságok?

A Cellebrite egy izraeli digitális kriminalisztikai vállalat, amely eszközöket fejleszt bűnüldöző szervek, hírszerző ügynökségek és vállalatok számára okostelefonok és egyéb digitális eszközök adatainak kinyerésére. Ezek az eszközök gyakran nulladik napi sérülékenységeket használnak a telefonok zárolásának megkerülésére és az adatok elérésére.

Hogyan fedezték fel az exploitot?

Az Amnesty International biztonsági laboratóriuma 2024 közepén végzett igazságügyi vizsgálatot egy érintett eszköz naplóadataiban, ahol azonosította az Android USB-komponenseit érintő sérülékenységeket. A szervezet ezt követően megkereste a Google fenyegetéselemző csoportját (TAG), amely három Linux kernelhez kapcsolódó USB-sebezhetőséget azonosított:

  • CVE-2024-53104 – USB Video Class (UVC) driver exploit
  • CVE-2024-53197 – ALSA USB-sound driver exploit
  • CVE-2024-50302 – USB HID eszköz exploit

Ezeket a sérülékenységeket a szerb rendőrség vélhetően fizikai hozzáféréssel kihasználta, miután lefoglalta a célpont eszközét.

Google javítások és további biztonsági aggályok

A Google 2025 februári Android biztonsági frissítésében már javította a CVE-2024-53104 számú hibát, és „korlátozott, célzott kihasználásként” jelölte meg. Az Amnesty szakértői szerint ennek a sérülékenységnek a kijavítása önmagában is megakadályozhatja a teljes exploitlánc működését, bár ezt még nem tudják biztosan.

A másik két hiba javításáról eddig nem jelent meg hivatalos Android biztonsági frissítés, így azok továbbra is kihasználhatók maradhatnak bizonyos eszközökön – attól függően, hogy a gyártó milyen gyakran frissíti az adott telefon Linux kernelét.

A GrapheneOS, egy biztonságközpontú Android disztribúció, már mindhárom sebezhetőséget javította, mivel rendszeresen frissíti a Linux kernelt.

A Google január 18-án minden OEM-gyártónak elküldte a sérülékenységek javítását, és jelezte, hogy ezek hamarosan bekerülnek az Android biztonsági közleményekbe, valamint kötelezővé válnak az Android Security Patch Level (SPL) követelményeiben.

USB-alapú támadások: miért veszélyesek?

Az USB-alapú exploitok gyakran a készülék USB-rendszerének, firmware-ének vagy kernelkomponenseinek sérülékenységeit használják ki. Ezek a támadások képesek:

  • Memóriakorrupciót előidézni, amely tetszőleges kódfuttatást tesz lehetővé,
  • Káros parancsokat injektálni,
  • Megkerülni a zárolási képernyőt és a titkosítást.

Mivel ezek a támadások fizikai hozzáférést igényelnek a célkészülékhez, rendőrségi fogvatartások során különösen könnyen végrehajthatók.

Korábbi esetek és további biztonsági megoldások

A Google 2024 áprilisában két másik nulladik napi hibát (CVE-2024-29745 és CVE-2024-29748) is javított, amelyeket igazságügyi elemző cégek telefonok PIN-kód nélküli feloldására használtak.

2025 februárjában az Apple is javított egy hasonló nulladik napi hibát (CVE-2025-24200), amelyet a Cellebrite és a GrayKey használt iPhone-ok zárolásának megkerülésére.

Hogyan védekezhetünk?

A stock Android nem tartalmaz az Apple-féle USB korlátozott módhoz hasonló védelmet, de az alábbi lépésekkel csökkenthető a veszély:

  1. USB hibakeresés (ADB) kikapcsolása (Fejlesztői beállítások → USB hibakeresés),
  2. USB-kábel csatlakozási módjának „Csak töltésre” állítása,
  3. Teljes lemeztitkosítás (Full Disk Encryption) engedélyezése:
    • Beállítások → Biztonság és adatvédelem → További biztonsági beállítások → Titkosítás és hitelesítési adatok → Telefon titkosítása.

Cellebrite és Szerbia: milyen következmények várhatók?

A Cellebrite az Amnesty International felfedezései után blokkolta a szerb biztonsági szolgálatok (BIA) hozzáférését az eszközeihez, azonban nem világos, hogy a hatóságok milyen más módszerekkel próbálhatnak meg hozzáférni az állampolgárok eszközeihez.

Ez az eset ismét rámutat arra, hogy:

  • A nulladik napi sérülékenységek milyen kockázatot jelentenek az adatvédelemre,
  • A rendvédelmi szervek és igazságügyi elemző cégek hogyan használják fel ezeket a támadásokat,
  • A felhasználóknak aktívan védekezniük kell a fizikai hozzáférésből fakadó támadások ellen.

A sérülékenységek javítása időbe telik, így azok a felhasználók, akik érzékeny adatokkal dolgoznak, különösen ügyeljenek az eszközeik fizikai védelmére és a megfelelő biztonsági beállítások alkalmazására.

(forrás, kép)